Linux中的文件被异常删除的排查思路
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux中的文件被异常删除的排查思路相关的知识,希望对你有一定的参考价值。
检查日志
审计日志,看登录的异常用户和异常行为
系统日志 如 /var/log/messge /var/log/secure等。
检查谁登陆了
last 查看机器创建以来登陆过的用户
lastlog 列出用户最后登录的时间和登录终端的地址
查看机器所有用户的连接时间 ac -dp
检查异常进程
查询异常进程所对应的执行脚本文件
a.top命令查看异常进程对应的PID
b.在虚拟文件系统目录查找该进程的可执行文件
ps -ef|grep pid 或者 ll /proc/(pid)1850/ | grep -i exe
检查异常定时任务
以上是关于Linux中的文件被异常删除的排查思路的主要内容,如果未能解决你的问题,请参考以下文章